2023软件供应链创新发展论坛通信分论坛在京举行

9月19日下午,由中国信息通信研究院、通信行业软件供应链安全社区主办,中国联通、中国移动、中国电信、中国铁塔、奇安信集团承办的软件供应链安全创新发展论坛“通信分论坛”在京举行。论坛以“聚焦创新实践 共筑数字未来”为主题,邀请主管部门、通信企业、研究机构、行业用户等代表,围绕软件供应链发展的态势判断与行动准则,软件供应链安全技术和管理的创新和发展进行深入交流。

北京市通信管理局网络安全管理处处长徐星在致辞中表示,北京市通信管理局已建成了较为完备的通信和互联网行业网络安全管理体系。下一步也将重点关注电信与互联网行业的软件供应链安全的相关问题,并提出各方坚持协同发力、创新为先、技管结合、久久为功,共同推动软件供应链安全的发展。

中国信息通信研究院安全研究所副总工杨剑锋在致辞时表示,软件供应链安全的创新发展需要各方共同努力和合:企业要加强自身能力建设,注重软件供应链安全投入;研究机构要加强科研攻关,提供创新技术和解决方案;软件从业者要增强安全意识,提高安全素养。同时要加强多方合作,共同应对软件供应链的安全挑战,共建和谐、安全、可信的软件供应链生态系统。

软件供应链安全社区能力建设组专家组长董峰在致辞中表示,如何更加全面高效保障软件供应链的安全,对于我国各行各业数字化转型推进具有重大意义。信息通信软件供应链安全社区积极发挥平台优势,在产业资源整合、创新技术分享、信息联动等多方向不断发力,为国家关键基础设施数字化转型等多场景下的安全建设赋能。

移动、联通、电信三家运营商代表分享了各自在软件供应链安全领域的实践和创新经验。

中国移动研究院安全所安全专家李政分享了中国移动构建的“可信加风控构建软件供应链安全管控体系”。以可信计算和风险防控相结合为支点,按照“一个中心,三重防护”的体系构建软件供应链安全保护屏障,实现覆盖软件供应链全生命周期的安全可信管控。

广东电信安全专家丛立功分享了基于SBOM的云原生供应链软件安全实践的创新经验:在组件联动方面,依托于正反向依赖追溯链完备度,实现容器组件联动和开源组件联动进行SBOM风险分析,有效建立相关关联关系;Devops集成方面,测试对接代码仓库、私服仓库、镜像仓库、工单系统等,尽可能实现完善全链条安全可控;开源方面进行了多级别代码特征提取技术、细颗粒度开源许可分析技术、成分化安全性风险等技术;容器组件方面,采用非入侵、轻量化技术,通过探针或API方式,降低对系统稳定性能的影响。

中国联通软件研究院架构部项目总监张世勋在分享中国联通软件供应链安全治理实践与展望时表示,软件供应链安全治理是一个系统化工程,不单是通过某一项技术或者一个简单流程就可以快速有效完成。为解决在引入开源软件后面临的软件供应链各种风险,联通软件研究院引入短名单机制,明确可用的开源软件及版本,规范软件的使用,统一运维与支撑,避免在项目建设过程中因软件供应链安全问题导致各种风险,实现一体化建设、集中管控和可持续发展。

奇安信集团通信行业软件供应链安全专家曹晖在《凝心聚力 助力软件供应链安全“零事故”》主题演讲中提出,建议以SBOM为基础,构建软件供应链安全的“五防”能力,即:防漏洞、防投毒、防侵权、防断供和防停服。奇安信也通过代码安全实验室、盘古团队、A-TEAM等安全技术团队和天问平台、代码卫士、开源卫士等产品,构建了覆盖供应链安全的全线安全支撑能力。

国舜股份副总裁汤志刚在《从准入机制谈软件供应链安全左移》主题演讲时表示,软件供应链安全虽然体现在系统运营阶段,但其根基却在系统开发阶段,而软件供应链安全准入则应是全生命周期的,通过可信安全工具、数据安全工具、开源安全工具等的充分融合,推动软件供应链安全从黑盒走向白盒,实现真正落地。

中国信息通信研究院安全所研究员何佩从研究机构视角出发,分享了我国开源软件漏洞管理的相关思考。他提出,当前我国开源漏洞管理制度与国际仍存在明显差距,企业内各部门的漏洞修补协调机制也有待优化。对此,开源软件漏洞治理需从近期治理和远期治理出发,通过推动行业标准制定、健全漏洞披露和响应机制、探索法规落实路径研究、建立资金支持和投入机制、健全公共服务等途径多管齐下,形成开源软件漏洞管理标准化和协作协同治理格局。

华为中国网络安全与隐私保护标准政策总监刘海军分享了华为内部的软件供应链安全实践经验。他介绍,华为是通过端到端网络安全保障体系落实ICT供应链安全管理,软件供应链安全框架,也是保障采购入口侧、开发过程、交付出口侧端到端安全。他还特别强调了人员管理的重要性,并将网络安全融入HR业务框架,通过系统性培训教育课程和认知资格体系,不断提升员工意识和能力,避免员工个人不当行为给公司带来风险。

主办方表示,希望通过此次分论坛的举办,能够找到应对软件供应链安全挑战的有效方法,推动软件供应链安全的发展,为“网络强国”、“数字中国”建设迎来创新、开放、安全的环境。